5724002

Pläne der EU-Staaten: Angriff auf Verschlüsselung

Die EU plant, die Verschlüsselung von Messenger-Diensten auszuhebeln, wie ein geleaktes Dokument zeigt. Bürgerrechtler:innen protestieren.

Zwei Frauen halten Smartphones in den Händen und schreiben eine Nachricht.

Solide umgesetzte Ende-zu-Ende-Verschlüsselung ist bei vielen Messenger-Diensten Standars Foto: AntonioGuillem/imago

BERLIN taz | Die Europäische Union plant eine Hintertür für die Verschlüsselung in Messenger-Diensten wie Whatsapp. Das berichtet der österreichische Rundfunk (ORF) unter Berufung auf ein internes Dokument der deutschen Ratspräsidentschaft an die Delegationen der Mitgliedstaaten im Rat.

So wird in dem vom Sender veröffentlichten Papier gefordert, dass Grundrechte auf der einen und die Kompetenzen von Behörden „besser ausbalanciert“ werden müssten, etwa wenn es um den Kampf gegen organisiertes Verbrechen oder Terrorismus gehe.

Konkrete Maßnahmen werden in dem fünfseitigen Dokument, wohl eine Reaktion auf den Anschlag in Wien, nicht genannt. Es wird jedoch angedeutet, dass die Politik den Behörden eine Art Generalschlüssel verschaffen will. Damit könnten etwa Strafverfolger oder Geheimdienste auf verschlüsselte Nachrichten zugreifen.

Solide umgesetzte Ende-zu-Ende-Verschlüsselung ist heute bei vielen Messenger-Diensten, etwa bei Whatsapp, Signal und Threema Standard. Die Verschlüsselung führt dazu, dass nur Absender:in und Empfänger:in einer Nachricht diese lesen können. Staatliche Behörden, aber auch Unbefugte von dritter Seite haben keinen Zugriff, auch der Betreiber des Dienstes nicht.

Gäbe es nun Nachschlüssel oder einen Generalschlüssel, könnten nicht nur Behörden einfach auf die Nachrichten zugreifen – ohne zusätzliche Hürden wie eine direkte Überwachung auf dem Endgerät. Der oder die Server, wo sich die Schlüssel befinden, wäre auch ein attraktiver Ort für Angreifer:innen. Darüber hinaus wäre eine absichtlich eingebaute Sicherheitslücke – und nichts anderes wäre so ein Generalschlüssel – ebenfalls für Angreifer:innen ausnutzbar.

„Solche Überwachungsmaßnahmen sind gegen Terrorismus überhaupt nicht geeignet“, kritisiert der Datenschutz-Vorkämpfer Padeluun vom Verein Digitalcourage. Die meisten Terrorist:innen seien behördlich bekannt. „Es gibt also keine Notwendigkeit, alle Bürger:innen zu überwachen.“ Die EU scheint es es allerdings eilig zu haben: Der Beschluss könnte schon Anfang Dezember bei einer Videokonferenz der EU-Innen- und -Justizminister:innen verabschiedet werden. Danach müsste eine entsprechende Verordnung erarbeitet werden und den Weg durch Parlament und Rat gehen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Arne Babenhauserheide

    Es wäre toll, wenn ihr ein update hierzuschreiben könntet: Angriff auf Verschlüsselung: Wie es weiterging.

  • danny schneider

    man sollte noch erwähnen, technisch gibt es keine Nachschlüssel, Zweitschlüssel,...

    Das was die Politik fordert ist ein Zwang auf: A redet mit Server, Server entschlüsselt, Server verschlüsselt neu für B. Serverbetreiber und Behörden können dann immer mitlesen.

    Das ist So als würde man fordern, das unter der Fußmatte vor der Eingangstür muss immer ein Zweitschlüssel liegen.

    Wohlgemerkt gilt das dann für 500Mio EU Bürger weil 4-5 mal im Jahr religiöse Spinner Amok laufen (was man damit nicht verhindern wird)

  • Jakob Cohen

    Kurz will schon lange in Whattsapp rein. Das war schon so, als er noch mit seinen Freunden, den braunblauen zusammen war.

    Nun lassen sie den Täter entwichen, ob wohl man ihnen von deutscher Seite gesagt hat, da ist er, greift ihn euch.

    So konnte der Typ ungehindert das Attentat durchziehen und Kurz hat wieder einen Möglichkeit laut nach dem Trojaner zu schreien. Dabei nutzen diese Leute tausendpro, längst andere Möglichkeiten.

    Aber mit dem Trojaner lassen sich trefflich alle Leute ausspähen.

    Selbst die Geheimdienste dürfen dann mitspielen.

    Das wird den Messengern erheblich schaden. Ob die Firmen das mitmachen....

  • Carl Fischer

    Das die meisten Terrorist:innen behördlich bekannt seien, liegt ja wohl kaum daran, dass sie sich auf eine Stellenanzeige hin gemeldet haben, sondern ist das Ergebnis von Überwachungs- und Strafverfolgungsmaßnahmen.

    • Ingo Bernable

      @Carl Fischer Soweit korrekt. Und sie sind bisher auch schon bekannt ohne, dass man dafür die Möglichkeit der sicheren Kommunikation grundsätzlich aushebeln musste. Umgekehrt wäre die Frage ob auch nur ein einziger Anschlag nur deshalb nicht zu verhindern war weil die Täter eine zu sichere Verschlüsselung wählten.

      Ebenfalls bedeutet der Umstand, dass man bisher keine gesetzlich erzwungenen Sicherheitslücken in den Algorithmen hat, eben nicht, dass die Behörden ggf. keine Handhabe hätten. Es gibt bereits die Quellen-TKÜ, den Einsatz von V-Leuten und verdeckten Ermittlern und die Möglichkeit zur akustischen und optischen Wohnraumüberwachung, ebenso die simple Möglichkeit der Beschlagnahme der Geräte und deren forensische Analyse, weiterhin kann in einigen Fällen die Herausgabe von Passwörter mit Beugehaft erzwungen werden (eine Ausweitung ist in Vorbereitung).

      Es gibt also bereits eine ganze Palette an Möglichkeiten. Viele davon wurden ebenfalls unter Protest und massiven Bedenken nicht zuletzt auch von Verfassungsrechtlern eingeführt, dennoch vermitteln die Ermittlungsbehörden den Eindruck, dass ihre im Laufe der Zeit immer weiter ausgeweiteten Befugnisse nie ausreichen weil es für sie natürlich ein lästiges Hindernis ist sich bei ihrer Tätigkeit an gesetzliche Schranken halten zu müssen. Aber genau das macht eben Rechtsstaatlichkeit aus.

      • Carl Fischer

        @Ingo Bernable "das Ergebnis von Überwachungs- und Strafverfolgungsmaßnahmen"

        Was ist daran unverständlich? Damit ist natürlich off- wie online gemeint. Wie welcher Anschlag verhindert wurde oder nicht verhindert wurde, ist dabei für mich von sekundärer Bedeutung. Viel wichtiger finde ich, dass die erhobenen Daten gem. den geltenden Gesetzen gehändelt werden.

        • Ingo Bernable

          @Carl Fischer Nichts ist daran unverständlich. Ich stimme ihnen da ja sogar zu. Nur geht es ja eben darum, dass das was die "geltenden Gesetze" erlauben wieder einmal massiv ausgeweitet wird. Deshalb ist mir damit allein diese Latte zu niedrig gelegt. Rechtsstaatlichkeit bedeutet immer auch, dass der Staat sich und seinen Behörden auch Grenzen setzen muss. Ein System in dem das nicht mehr gilt kippt ins Totalitäre, deshalb sollte man die Idee jeden Anschlag mit immer noch weiter ausufernden Befugnissen für die Sicherheitsbehörden zu beantworten unbedingt aufgeben.

  • Ingo Bernable

    Es ist unglaublich wie lernresistent man in den entsprechenden Behörden offenbar ist. Bislang ist noch jede Backdoor die irgendwo eingebaut wurde eher früher als später auch von Dritten missbraucht worden. Ein solches Vorhaben aber vorab anzukündigen ist letztlich nur eine Einladung an alle Geheimdienste und Cyberkriminellen der Welt welche Beamten sie erpressen oder bestechen müssen um an die Schlüssel zu kommen um einen Großteil des eurpäischen Traffics im Klartext mitlesen zu können. Ein Hack ist da gar nicht mehr nötig. Sich im "Kampf gegen organisiertes Verbrechen oder Terrorismus" planvoll die eigene IT-Sicherheit zu sabotieren ist nicht nur wirkungslos, sondern kontraproduktiv.

    Zumal Verschlüsselung bei den jüngsten Anschlägen meines Wissens nach überhaupt keine Rolle spielte. Sowohl der Täter von Dresden als auch der von Wien waren polizeibekannt, letzterer stand gar unter Beobachtung, und es gab Warnungen oder Hinweise, die aber nicht weitergegeben oder verfolgt wurden. Der Mörder von Samuel Paty setzte in die Tat um wozu tagelang öffentlich im Netz aufgerufen wurde. Solange es möglich ist, dass Terrorakte unter Beobachtung vorbereitet und öffentlich angekündigt werden aber dennoch nicht verhindert werden können, sollte man über eine allgemeine Aushebelung verschlüsselter Kommunikation nicht einmal nachdenken, denn dort wo man es tut scheint es auch nichts zu ändern. Anis Amri, der Attentäter vom Breidscheidtplatz, nutze anders als die vorgenannten Verschlüsselung. Durch einen V-Mann hatten LKA und BKA auch ohne technisch verankerte Sollbruchstelle im Algorithmus dennoch Zugang zu den Inhalten. Nur leider wurde auch hier dieses Wissen nicht genutzt um ihn aufzuhalten (www.zeit.de/politi...hlag-ueberwachung).